The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от opennews (??) on 20-Июн-14, 12:04 
В cистеме управления контейнерной виртуализацией Docker выявлена (http://seclists.org/oss-sec/2014/q2/565) уязвимость, позволяющая выйти за пределы изолированного контейнера. Проблема устранена в релизе Docker 1.0, но присутствует в выпусках до 0.11 включительно. Для проверки наличия проблемы подготовлен прототип эксплоита (http://stealth.openwall.net/xSports/shocker.c), позволяющий из контейнера прочитать любой файл хост-системы.  Кроме Docker проблеме могут быть подвержены и другие системы контейнерной виртуализации, использующие инструменты, подобные LXC.


Техника эксполуатации основана на обращении в внешним файлам через прямой доступ к inode, которые остаются видимыми в контексте всей файловой системы после прикрепления части  данной ФС через "mount --bind". Полагая, что inode 2, как правило, связан с корнем, осуществляется последовательный перебор всех inode, пока не найдётся inode, ссылающийся на нужный файл. Проблеме также подвержены системы, в которых используются снапшоты, субразделы, chroot и специализированные ioctl для манипуляций с ФС (доступны в XFS).

Для совершения атаки необходимо иметь возможность запуска операций внутри контейнера с правами root. В Docker 1.0 проблема не проявляется благодаря удалению привилегии CAP_DAC_READ_SEARCH. При этом отмечается, что теоретически для организации похожей атаки может использоваться  привилегия CAP_MKNOD, которая пока оставлена в Docker 1.0.

URL: http://blog.docker.com/2014/06/docker-container-breakout-pro.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=40046

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 20-Июн-14, 12:04 
Ну вот, такая страшилка с интересным эксплойтом... и приписка "В Docker 1.0 проблема не проявляется".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +5 +/
Сообщение от Michael Shigorin email(ok) on 20-Июн-14, 12:48 
Случайно пофиксили...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +4 +/
Сообщение от rob pike on 20-Июн-14, 16:08 
Новый модный подход к security.
Выпускать новые версии быстрее чем к старым успевают написать эксплойт.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +5 +/
Сообщение от Константавр (ok) on 20-Июн-14, 16:59 
Так вот зачем в опенсорсе постоянно всё переписывают и ломают! Они же как зайцы - следы спутывают :)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от tessel on 20-Июн-14, 18:04 
То ли дело ссаный энтерпрайз, где баги бережно консервируют и ни в коем случае не исправляют, усиленно строя анальные ограждения вокруг баги.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  –1 +/
Сообщение от Аноним (??) on 20-Июн-14, 19:30 
…тщательно документируют их и приводят несколько workaround'ов в печатном руководстве пользователя.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

29. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 21-Июн-14, 05:00 
> …тщательно документируют их и приводят несколько workaround'ов в печатном руководстве
> пользователя.

А настоящий энтерпрайз делает как-то так: https://www.opennet.ru/opennews/art.shtml?num=40045

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

3. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +4 +/
Сообщение от Аноним (??) on 20-Июн-14, 13:32 
А вот что пишут об этом разработчики Docker:

Hi all, I'm a maintainer of Docker. As others already indicated this doesn't work on 1.0. But it could have.

Please remember that at this time, we don't claim Docker out-of-the-box is suitable for containing untrusted programs with root privileges. So if you're thinking "pfew, good thing we upgraded to 1.0 or we were toast", you need to change your underlying configuration now. Add apparmor or selinux containment, map trust groups to separate machines, or ideally don't grant root access to the application.

Docker will soon support user namespaces, which is a great additional security layer but also not a silver bullet!

When we feel comfortable saying that Docker out-of-the-box can safely contain untrusted uid0 programs, we will say so clearly.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +2 +/
Сообщение от Motif (ok) on 20-Июн-14, 14:01 
>we don't claim Docker out-of-the-box is suitable for containing untrusted programs with root privileges
>Add apparmor or selinux containment

И кому они такие красивые нужны? SELinux и без них работает.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  –2 +/
Сообщение от Аноним (??) on 20-Июн-14, 14:34 
>  SELinux и без них работает.

И вырубается каждым первым сплойтом. А пару раз авторы сплойтов его даже благодарили за помощь. В общем соотношение геморности настройки оного vs результаты - совершенно не впечатляют.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +2 +/
Сообщение от CssfPZS (ok) on 20-Июн-14, 18:07 
Пруф, или небыло.

P.S. Диванный кукаретик детектед.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

30. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  –2 +/
Сообщение от Аноним (??) on 21-Июн-14, 05:11 
> Пруф, или небыло.

Посмотри исходники любого боевого сплойта на повышение прав и т.п. - там обычно вынос SELinux (а иногда и иных систем, e.g. AppArmor-а) первым делом прописаны, чтобы под ногами не мешался.

Но если тебе мало - получай, nobrainer: https://lwn.net/Articles/341773/ - там подробно изложено что хаксоры думают про SELinux. И это мнение не самое вкусное. По факту SELinux в этом эксплойте ПОМОГАЛ поиметь систему :D.

А вот настраивать эту хреноту от АНБ очень геморно. Ну АНБ оно понятно зачем - у них там вполне конкретный регламент доступа к документам и внутренние процедуры требуют мандатный контроль. Если в системе нет мандатного контроля - они не будут системой пользоваться. А вот зачем всем остальным этот кластерфак при таком соотношении затрат усилий к результату - загадка природы. Над ними то регламент предписывающий копать от забора и до обеда не висит...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

36. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +1 +/
Сообщение от CssfPZS (ok) on 21-Июн-14, 13:50 
>получай, nobrainer: https://lwn.net/Articles/341773/

Я конечно понимаю, что у таких кукаретиков как ты, проблемы с чтением, но
в приведенном тобой линке идет речь про баг в ядре, который затрагивает
целый ряд его внутренних подистем безопастности и НЕ ЯВЛЯЕТСЯ SELinux СПЕЦИФИЧНЫМ.

Короче дорога тебе одна, в биореактор.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

12. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 20-Июн-14, 16:29 
Grsecurity + PaX
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 20-Июн-14, 23:03 
Саккез стори нету.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

33. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 21-Июн-14, 05:23 
> Саккез стори нету.

Так это то и хорошо :). Потому что обычно их пишут хаксоры которым удалось прорубиться в систему :). А когда все просто работает - какое там success story?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

18. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 20-Июн-14, 19:24 
> И кому они такие красивые нужны? SELinux и без них работает.

Только скорее не selinux, а openvz тогда.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

24. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 21-Июн-14, 00:40 
Michael,
openvz (при всём моем к нему!) таки из другой оперы чем lxc.
Удивлён чёй ты мешаешь самогон с коньяком 8-\
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Led (ok) on 21-Июн-14, 01:38 
> openvz (при всём моем к нему!) таки из другой оперы чем lxc.

Судя по всему, вы абсолютно "не в теме". Он из "той же оперы". И сабж к нему точто так же применим.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  –1 +/
Сообщение от Аноним (??) on 21-Июн-14, 03:29 
:-\ Да как же в той же?! Там всё на других механизмах сляпано, всё!
А впрочем - как скажете :)
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 21-Июн-14, 05:17 
> Там всё на других механизмах сляпано, всё!

IIRC идея была в том чтобы максимально переехать на услуги майнлайнового ядра, дописывая только то чего не хватило.


Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

8. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  –1 +/
Сообщение от Пропатентный тролль on 20-Июн-14, 15:11 
А вся фишка в том, что они этого никогда не скажут ;-)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от odity on 20-Июн-14, 14:01 
Че то читал код и е понял. он выходил за пределы памяти путем переполнения ? Ну это же , хм...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 20-Июн-14, 14:35 
> он выходил за пределы памяти путем переполнения ?

Это где такое? File:line плиз.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Michael Shigorin email(ok) on 20-Июн-14, 19:25 
> е понял. он выходил за пределы памяти путем переполнения ?

Он позволял работать прям по инодам.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  –4 +/
Сообщение от Аноним (??) on 20-Июн-14, 15:27 
docker дырявый, linux дырявый, qubesos Рутковской на xen'e который тоже дырявый. Как дальше жить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  –1 +/
Сообщение от Психиатр (ok) on 20-Июн-14, 15:34 
openssl дырявый, php дырявый, c/c++ сам по себе дырявый (в кривых руках) ... * тоже дырявый
Как дальше жить?

Только деревянные счёты, печатные книги, бумажные документы в стальном сейфе (упс, сейф тоже дырявый, брутфорсом их ломаютЬ) , да уж, я таки не знаю как дальше жить ...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

21. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 20-Июн-14, 19:48 
Плохой из вас психиатор, мне ещё хуже стало
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +1 +/
Сообщение от Аноним (??) on 20-Июн-14, 19:50 
s/психиатор/психиатр
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

14. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +1 +/
Сообщение от angra (ok) on 20-Июн-14, 17:04 
Как насчет openvz?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +1 +/
Сообщение от Аноним (??) on 20-Июн-14, 17:15 
тоже дырявый!
;-D
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

28. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  –1 +/
Сообщение от Аноним (??) on 21-Июн-14, 03:38 
Led ты чего возбудился так?  Обычной чмошный ноющий тролько, а у тебя прям ... эрекция :)


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Аноним (??) on 21-Июн-14, 05:19 
> docker дырявый, linux дырявый, qubesos Рутковской на xen'e который тоже дырявый. Как
> дальше жить?

Выкопать бункер на километровой глубине. И никакой электроники. Даже счеты лучше выбросить. На всякий случай.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

37. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от bOOster email on 21-Июн-14, 15:55 
*bsd !
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

34. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Anonym2 on 21-Июн-14, 09:01 
Зачем вообще нужны хэндлы файлов?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Выявлена уязвимость, позволяющая выйти за пределы контейнеро..."  +/
Сообщение от Anonym2 on 21-Июн-14, 09:23 
Хотя всё равно не уязвимость, как здесь уже замечалось... :-)
(контейнеры не предотвращают подобного рода доступ).
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру